webEdition 9.0.6 veröffentlicht

Fragen und Infos zur Installation & Update von webEdition.
mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

webEdition 9.0.6 veröffentlicht

Beitragvon mokraemer » Fr 4. Dez 2020, 14:23

Die neue Version ist eine Sicherheitsaktualisierung. Wir empfehlen diese bald möglichst einzuspielen!
Die (kurze) Historie unter https://www.webedition.org/de/dokumenta ... sion-9.0.6
webEdition-Kern-Entwickler

e_herrmann
Senior Member
Beiträge: 1319
Registriert: Do 22. Mai 2003, 23:25

Re: webEdition 9.0.6 veröffentlicht

Beitragvon e_herrmann » Mi 16. Dez 2020, 09:52

Hi Marc,
besteht die Sicherheitslücke von 9.0.6 auch im Entwicklungszweig 7 und 8?
Ich habe gerade eine Warnung via www.openbugbounty.org bekommen. Die Seite lief auf 8.1.1. Ich habe jetzt ein Update auf 8.1.4 gemacht, weiter kann ich da im Moment nicht gehen, da nur MySQL 5.6 verfügbar ist.
Außerdem habe ich auch noch eine weitere Seite unter 7.04 laufen, die ich nicht updaten kann. Denn dort läuft ein Kalender, der mit höheren Versionen von WE nicht mehr funktioniert. Siehe https://qa.webedition.org/tracker/view.php?id=12698

Wie seriös die Meldung bei openbugbounty.org ist, kann ich nicht einschätzen. Hast du vielleicht ein paar Infos, wie es mit der Anfälligkeit in den alten Versionen aussieht. Das würde dann ja nicht nur mich betreffen.

Danke und Grüße
Elko
Elko Herrmann
komplexx | internet.fotografie
web: http://www.komplexx.de

WBTMagnum
webEdition Partner
webEdition Partner
Beiträge: 1825
Registriert: Di 7. Mär 2006, 16:50
Wohnort: Wien
Kontaktdaten:

Re: webEdition 9.0.6 veröffentlicht

Beitragvon WBTMagnum » Mi 16. Dez 2020, 12:46

Stimmt, wäre interessant zu wissen ab welcher wE Version das relevant ist bzw. welchen Bereich / welches Feature das betrifft.

Liebe Grüße,
Sascha

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: webEdition 9.0.6 veröffentlicht

Beitragvon mokraemer » Mi 16. Dez 2020, 17:25

Nur Version 9 - 7 und 8 sind nicht betroffen. Wg. MySQL würde ich dem Hoster mal Druck machen.

Was hast du denn für einen Hinweis bekommen?
webEdition-Kern-Entwickler

e_herrmann
Senior Member
Beiträge: 1319
Registriert: Do 22. Mai 2003, 23:25

Re: webEdition 9.0.6 veröffentlicht

Beitragvon e_herrmann » Mi 16. Dez 2020, 17:50

Improper Access Control Vulnerability
Security Researcher Cyber_India, a holder of 5 badges for responsible and coordinated disclosure, found a Improper Access Control security vulnerability affecting website and its users
Ich habe mal nachgeschaut, der hat in den letzten Monaten ca. 10000 Reports gemacht.
In den letzten Tagen waren es hunderte aus Deutschland.
Details gibt es nur gegen Geld, ist natürlich die Frage, wie seriös das ist.
Elko Herrmann
komplexx | internet.fotografie
web: http://www.komplexx.de

Rala
Member
Beiträge: 69
Registriert: Fr 26. Jan 2007, 09:04
Wohnort: Dormagen
Kontaktdaten:

Re: webEdition 9.0.6 veröffentlicht

Beitragvon Rala » Mi 13. Jan 2021, 09:58

Ich habe für 2 Websites per www.openbugbounty.org ebenfalls Warnhinweise bekommen. Es ist wohl so, dass sich da eine dubiose indische Firma dieser Check-Plattform bedient. www.openbugbounty.org selbst ist anscheinend unproblematisch.
Die Sicherheitshinweise betreffen im Fall der mir genannten Websites JS-Bibliotheken bzw. -Skripte, die etwas veraltet sind. Z.B. älteres jquery. Meine Recherche ergab, dass diese jquery-Version tatsächlich XSS möglich machen soll. In diesem Fall sind das Skripte, dich ich selbst in den Websites verwende und keine Komponenten von webEdition.

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: webEdition 9.0.6 veröffentlicht

Beitragvon mokraemer » Mi 13. Jan 2021, 11:47

ok, dann ist das ja gut :)
Theoretisch könnte man auch jquery von WE nutzen, da aber auch hier durch die neuen jquery Versionen sich immer mal was ändert kann das auch problematisch sein wenn durch ein we update dann ein neues jquery rein kommt.
webEdition-Kern-Entwickler


Zurück zu „webEdition Installation & Update“

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 20 Gäste